Capítulo 7. Aplicación de políticas de seguridad
Durante el proceso de actualización in situ, algunas políticas de seguridad deben permanecer desactivadas. Además, RHEL 8 introduce un nuevo concepto de políticas criptográficas en todo el sistema y también los perfiles de seguridad pueden contener cambios entre las versiones principales. Esta sección le guiará a la hora de asegurar sus sistemas RHEL actualizados.
7.1. Cambiar el modo de SELinux a forzoso
Durante el proceso de actualización in situ, la utilidad Leapp
establece el modo SELinux como permisivo. Cuando el sistema se actualiza con éxito, hay que cambiar manualmente el modo SELinux a enforcing.
Requisitos previos
- El sistema se ha actualizado y usted ha realizado los pasos de verificación descritos en Verificación del estado posterior a la actualización del sistema RHEL 8.
Procedimiento
Asegúrese de que no hay denegaciones de SELinux, por ejemplo, utilizando la utilidad
ausearch
:# ausearch -m AVC,USER_AVC -ts boot
Tenga en cuenta que el paso anterior sólo cubre el escenario más común. Para comprobar todas las posibles denegaciones de SELinux, consulte la sección Identificación de denegaciones de SELinux en el título Uso de SELinux, que proporciona un procedimiento completo.
Abra el archivo
/etc/selinux/config
en un editor de texto de su elección, por ejemplo:# vi /etc/selinux/config
Configure la opción
SELINUX=enforcing
:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Guarde el cambio y reinicie el sistema:
# reboot
Pasos de verificación
Después de reiniciar el sistema, confirme que el comando
getenforce
devuelveEnforcing
:$ getenforce Enforcing
Recursos adicionales